Follow

Un de mes clients est en train de migrer sur l'ensemble des données de ses clients (incluant des documents très personnel tel que Carte d'Identité, Avis Imposition ...) malgré mes cris d'alarme sur la protection des données.

Je recherche des documents indiquant la dangerosité de cette action. Si vous avez des articles que je puisse continuer mon dossier préventif, je suis très preneur.

@LaQuadrature auriez-vous des pistes ?

Boost apprécié.
--

@isserterrus
S'il y a des données de structures étatiques mairie, pref, ministère il faut une autorisation écrite des tutelles pour sortir des documents administratifs de France. Pour le personnel ils ont du normalement mettre à jour leur doc rgpd indiquant les traitements faits aux données et ils doivent mentionner que des tiers ont désormais accès à ces données et ils doivent les nommer.
Une fois le changement de traitement fait @LaQuadrature - 1/2

dans le doc normalement tu dois en informer tes clients mais je ne suis pas sur que ça soit une obligation...
En tout cas c'est vraiment pas cool quand tu es client de ces boîtes, quand tu les as choisi pour leur respect des données et qu'ils changent de bord si en plus tu n'es pas au courant c'est moche.
@LaQuadrature @isserterrus - 2/2

@isserterrus @LaQuadrature

Voici deux articles récents parlant de fuites de données massives ainsi que leurs conséquences :
cyberguerre.numerama.com/9899-

rtl.fr/actu/sciences-tech/fuit

En outre tu peux aller te balader sur le shaarli de Sebsauvage ( sebsauvage.net/links/ ), il partage souvent des informations sur ce thème. Tu peux y faire des recherches par tag (essaie "freedom" par exemple).

@isserterrus
Ben là 1 ère chose qui me vient à l'esprit c'est le cloud act, ensuite le rgpd il faudrait que je donne mon accord pour héberger mes données aux US il me semble, non ?
@LaQuadrature

@isserterrus

Je crois qu'il y a un bouton dans l'espace pour se plaindre qu"il y a des données perso.

moi j'ai arrêté la collaboration avec un gros client quand il a fallut mettre mes documents perso (CI, bilan etc...) sur un googledrive.

@LaQuadrature

@isserterrus d'un point de vue plus pratique, tu peux aussi lui dire qu'il va perdre l'organisation arborescente de ses documents, que chaque utilisateur va pouvoir faire n'importe quoi avec ses documents et que par défaut les documents créés par chaque utilisateur leur appartiennent, s'ils suppriment un compte parce que l'utilisateur est parti, ils perdent les documents.
Ce n'est que depuis peu qu'il est possible, mais demande une opération manuelle, d'attribuer un doc à plusieurs personnes

@mmu_man @isserterrus @LaQuadrature

Conseil: Considérez les services des GAFAM comme des poubelles à retardement. Tout ce que vous y mettez peut disparaître d'un claquement de doigts, n'importe quand. N'y mettez rien d'important, de précieux, de personnel. N'y mettez que des choses sans importance.

@Phipe

Disons que "c'est pratique" peut encore parfois servir d'excuse à utiliser leurs services (même si je trouve mon NextCloud beaucoup plus pratique que GoogleDrive ^^)

@mmu_man @isserterrus @LaQuadrature

@isserterrus @LaQuadrature

Pour avoir connu le problème à l'échelle d'une grande entreprise: il sera plus sécure de confié le stockage a une entreprise tierce que d'essayer de le sécurisé soit même.

Mais:

@isserterrus @LaQuadrature

- le tiers doit être au courant (dans ton cas, usage de Google Suite, avec la précision lors de l'initialisation que les donnes stockés sont sensibles RGPD, et donc, qu'elle doivent être stocké dans ton pays - ou pas, c'est le cas pour la France en tout cas.
- le ou les clients doivent être au courant que tu stock tes données chez un tiers qui respecte la RGPD

C'est plus sécure sur 2 aspects (principalement) :

@isserterrus @LaQuadrature

- la responsabilité : si un problème intervient (fuite par exemple) tu n'est pas en cause, mais le tiers est en cause (sauf si la fuite s'avère être un accès frauduleux de ton côté évidemment)
- le technique : jamais tu n'auras les même moyen que Google pour stocker tes données : MFA (2+), sauvegardes et backup, haute disponibilité, ZTNA, ... Il te seras impossible d'avoir mieux avec un budget "standard"

@isserterrus @LaQuadrature

diaspodon.fr/@SillobreMVC/1057

@SillobreMVC

Ce n'est pas un argument,
- un mot de passe en fuite ne suffit pas à contré les MFA (qui peuvent être forcé dans Google Suite)
- c'est une fuite COMB qui inclut donc des mots de passe de plusieurs site, Google n'y est pour rien si tu as gardés le même mot de passe depuis 10 ans (politique de changement de mot de passe possible dans G Suite) et que tu utilises le même mot de passe pour tout tes sites ;)

@isserterrus @LaQuadrature @SillobreMVC

mamot.fr/@dhal/105723131412538

Je considère que c'est un mauvais argument, ça rentre dans la case "le tiers à plus de moyen vu que c'est sont métier" c'était une entreprise de crédit, pas de stockage en ligne, pas étonnant qu'une fuite arrive

@isserterrus @LaQuadrature @SillobreMVC

Pour finir, je dirai qu'il peut aussi tenter de stocker chez un partenaire autre que Google.

OpenBee
PCloud
...

J'en connais pas beaucoup, mais les avantages resteront les mêmes, en plus d'avoir un vrai commercial à disposition

@isserterrus @LaQuadrature alors je dirais que tu risque de pas trouver beaucoup de littérature sur le sujet. De toute façon tout doit être couvert dans les CGU (soit de Google Drive, soit de GSuite), CGU incompréhensibles écrites par des juristes pour qu'elles soient volontairement pas intelligibles. Laisse tomber avec ce client qui a encore confiance dans une entreprise comme Google après Prism

@isserterrus @LaQuadrature
Eh bien, commence par lui transmettre ça :
cybernews.com/news/largest-com

Checker votre adresse mail pour savoir si elle a été piratée et diffusée :
cybernews.com/personal-data-le

Dans mon cas, mon adresse Hotmail était dans la liste ! 😮

#Gmail #Google #Hotmail #Outlook

@isserterrus @LaQuadrature
Salut. le renvoyer sur le RGPD avec à la clef un montant de l'amende de 4% de son CA limité à 20 000 000 d'euros. remarque moi j'ai un client qui m'a sorti "la direction a décidé qu'on était pas concernés" . au bout d'un moment, il faut bien qu'ils assument leurs conneries.

Sign in to participate in the conversation
Sociala.Me

Instance Mastodon géré par Sociala.Me (et son créateur : TeddyBeard) Serveur privé uniquement sur invitation de la part de l'un des modérateurs.